CN105744524A - 一种wia-pa工业无线网络中移动设备入网认证机制 - Google Patents
一种wia-pa工业无线网络中移动设备入网认证机制 Download PDFInfo
- Publication number
- CN105744524A CN105744524A CN201610298169.9A CN201610298169A CN105744524A CN 105744524 A CN105744524 A CN 105744524A CN 201610298169 A CN201610298169 A CN 201610298169A CN 105744524 A CN105744524 A CN 105744524A
- Authority
- CN
- China
- Prior art keywords
- ticket
- mobile device
- mobile
- net
- networking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种WIA?PA工业无线网络中移动设备入网认证机制,属于工业无线网络技术领域。在该认证过程中涉及的WIA?PA工业无线网络设备包括:网关设备、路由设备、现场设备和移动设备;该认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证;移动设备第一次入网认证包含Ticketnet和Ticketmobile的处理和入网认证,移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。该机制提升了已认证移动设备再入网认证的有效性,减少了移动设备再入网认证的报文交互次数及网络资源开销;移动设备再入网认证的认证码由静态变为用户可选的动态变化模式,对可能的重放攻击等进行有效防御,有效提升了网络的安全性。
Description
技术领域
本发明属于工业无线网络技术领域,涉及一种WIA-PA工业无线网络中移动设备入网认证机制。
背景技术
工业无线网络WIA(WirelessNetworksforIndustrialAutomation)技术是我国具有自主知识产权的高可靠、超低功耗的智能多跳无线传感器网络技术,该技术提供一种自组织、自治愈的智能路由机制,能够针对应用条件和环境的动态变化,保持网络性能的高可靠性和强稳定性。WIA-PA(WirelessNetworksforIndustrialAutomationProcessAutomation)标准是WIA子标准,用于工业过程测量、监视与控制的无线网络系统,目前WIA-PA标准已形成国家标准。
近年来,在工业物联网逐步应用的背景下,传统的固定节点已经不能满足工业应用的需求,工业物联网对移动性的支持迫在眉睫。大量移动设备如手持抄表设备、现场可移动冷风机、手持巡检设备、移动加湿器等进入面向智能制造领域的工业无线网络。
基于WIA-PA工业无线网络的应用场景不断增加,如基于WIA-PA的智能抄表系统。在该智能抄表系统中需要使用移动设备进行抄表,移动设备进行抄表的同时伴随着移动设备的多次重复入网问题。
移动设备的特点为:具有移动性,在网络中移动和运行时,会根据所处的位置,从不同的接入点反复入网。传统的工业无线网络对待移动设备的重复入网,没有特别的方法。如WIA-PA工业无线网络中,移动设备一旦离开一个子网,再次加入一个新的子网时候,需要执行相同的入网过程。
目前,WIA-PA工业无线网络中安全认证机制主要存在以下不足:1)移动设备在每次入网时,需要执行相同的入网认证过程,该过程需要移动设备与工业无线网络的安全管理者进行多次交互,特别是移动设备在网络中移动频繁时,网络资源开销大。2)移动设备在第一次加入网络时,一般通过预配置的密钥生成用于认证的安全认证码;传统方法中,移动设备在离开网络后,对预配置密钥并不进行更新,之后每次入网一般都采用相同的预配置密钥生成相同的认证码,易受到攻击。
发明内容
有鉴于此,本发明的目的在于提供一种WIA-PA工业无线网络中移动设备入网认证机制,该机制能够解决WIA-PA标准中对移动设备重复入网认证机制存在的不足。
为达到上述目的,本发明提供如下技术方案:
一种WIA-PA工业无线网络中移动设备入网认证机制,在该认证过程中涉及的WIA-PA工业无线网络设备包括:网关设备、路由设备、现场设备和移动设备;
该认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证;移动设备第一次入网认证包含Ticketnet和Ticketmobile的处理和入网认证,移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。
进一步,所述移动设备第一次入网认证包括:移动设备在网关设备处认证,认证成功后,网关设备中网络管理者保存该移动设备的认证ID,此认证ID是设备长地址;网关设备中安全管理者生成Ticketnet和Ticketmobile,分发Ticketnet给在网所有路由设备,分发Ticketmobile给该移动设备。
进一步,移动设备认证成功后,Ticketmobile封装到加入成功响应中,移动设备收到加入成功响应后成功入网并获取Ticketmobile,加入成功响应命令包格式如下表:
14字节 | 1字节 | 1字节 | 2字节 | 24字节 |
网络层包头 | 命令标识符=35 | 执行结果 | 待加入设备短地址 | Ticketmobile |
其中加入成功响应命令包的命令标识符为35,如果加入成功,则执行结果返回“SUCCESS”,待加入移动设备短地址子域值、Ticketmobile有效;如果加入失败,则执行结果返回“FAILURE”,待加入移动设备短地址子域值、Ticketmobile无效。
进一步,所述Ticketnet和Ticketmobile的处理包含Ticketnet和Ticketmobile的生成、Ticketnet和Ticketmobile的分发、Ticketnet和Ticketmobile的存储与Ticketnet和Ticketmobile的更新。
进一步,Ticketnet中加密密文为认证ID加密后的密文,其长度为8字节,Ticketmobile中Key为Ticketnet中加密算法的密钥,长度为16字节;Ticketnet和Ticketmobile分发:在WIA-PA工业无线网络中,路由设备在网关设备处入网时,网关设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点;路由设备于在网路由设备处入网时,在网路由设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点。网关设备查询父子节点关系信息表,并发送Ticketnet分发命令包给所有子节点路由设备,相应路由设备收到Ticketnet分发命令包并保存Ticketnet后,继续查询自身存储的父子节点关系信息表,将Ticketnet发送给父子节点关系信息表中的所有子节点路由设备,以此进行Ticketnet的分发。
Ticketnet分发命令包用于路由设备/网关设备分发Ticketnet,Ticketnet分发命令包格式如下表:
14字节 | 1字节 | 8字节 |
网络层包头 | 命令标识符=33 | Ticketnet |
其中Ticketnet转发命令包命令标识符为33;Ticketnet采用缓存机制,缓存于在网路由设备和网关设备,Ticketmobile在移动设备中固定存储;提供四种Ticketnet和Ticketmobile的更新模式,用户根据实际情况自选更新模式,更新模式1为移动设备在第一次离开网络的时间为t1,经过一段时间t后,Ticketnet自动更新到Ticketnet1,同时Ticketmobile自动更新到对应的Ticketmobile1,后续更新重复该过程,更新模式2为移动设备重复入网g次以后,在第g+1次入网时,安全管理者生成新的Ticketnet和Ticketmobile,再次执行Ticketnet和Ticketmobile的转发过程,更新模式3为设立Ticketnet和Ticketmobile最大存活时间T,超过最大存活时间T后,WIA-PA网络中的路由设备和网关设备自动清除缓存中Ticketnet,移动设备同时清除Ticketmobile;在下一次入网时,采用移动设备第一次入网认证过程,更新模式4为对Ticketnet和Ticketmobile不更新。
进一步,所述移动设备第k(k≥2)次重复入网认证包括:待入网的移动设备发送Ticketmobile给路由设备,路由设备根据Ticketmobile解密Ticketnet得认证信息,并比对认证信息是否一致,若一致则移动设备获得链路资源,接入网络,然后,路由设备将解密后的认证信息转发给网关设备中安全管理者,安全管理者再次认证该认证信息;若认证失败,则断开移动设备,若认证成功,网关设备中网络管理者给移动设备分配相应的权限。
进一步,在移动设备第k(k≥2)次重复入网过程中,定义了两种命令包,即移动设备再次加入请求命令包和设备再认证请求命令包格;移动设备再次加入请求命令包用于移动设备发送再次加入请求,移动设备再次加入请求命令包格式如下表:
14字节 | 1字节 | 24字节 |
网络层包头 | 命令标识符=34 | Ticketmobile |
其中移动设备再次加入请求命令包的命令标识符为34;
设备再认证请求包用于路由设备转发设备再认证请求,设备再认证请求命令包格式如下表:
14字节 | 1字节 | 8字节 |
网络层包头 | 命令标识符=32 | 解密后的认证ID |
其中设备再认证请求命令包的命令标识符为32,解密后的认证ID用于安全管理者的认证。
本发明的有益效果在于:1)提升了WIA-PA工业无线网络中已认证移动设备再入网认证的有效性,减少了移动设备再入网认证的报文交互次数及网络资源开销;2)将移动设备再入网认证的认证码由静态变为用户可选的动态变化模式,对可能的重放攻击等进行有效防御,有效提升了网络的安全性。
附图说明
为了使本发明的目的、技术方案和有益效果更加清楚,本发明提供如下附图进行说明:
图1为移动设备在WIA-PA网络中移动的网络参考模型;
图2为移动设备第一次加入WIA-PA网络过程图;
图3为Ticketnet和Ticketmobile格式;
图4为Ticketnet和Ticketmobile的分发模型;
图5为移动设备第k(k≥2)次重复入网过程图;
图6为WIA-PA标准中移动设备安全加入网络时序图。
具体实施方式
本发明提供了一种WIA-PA工业无线网络中移动设备入网认证机制,涉及的WIA-PA工业无线网络设备有:网关设备、路由设备、现场设备和移动设备;WIA-PA工业无线网络中移动设备入网认证机制提升了已认证移动设备再入网认证的有效性,减少移动设备再入网认证的报文交互次数,减少网络资源开销;移动设备再入网认证的认证码由静态变为用户可选的动态变化模式,对可能的重放攻击等进行有效防御,有效提升网络的安全性;WIA-PA工业无线网络中移动设备入网认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证;移动设备第一次入网认证包含Ticketnet和Ticketmobile的处理和入网认证,移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。
下面将结合附图,对本发明的优选实施例进行详细的描述。
图1为移动设备在WIA-PA网络中移动的网络参考模型,如图1所示,本发明涉及的WIA-PA工业无线网络的网络设备有:网关设备、路由设备、现场设备和移动设备。
网关设备:负责WIA-PA网络与其他网络的协议转换与数据映射,同时在网关设备内开发网络管理者(NetworkManager,NM)和安全管理者(SecurityManager,SM),其中网络管理者用于管理和监测全网,安全管理者用于网关设备、路由设备、现场设备和移动设备的密钥管理与安全认证,详细的功能介绍如表1所示。
表1网关设备功能介绍
路由设备(簇首):管理和监测现场设备和移动设备;负责安全地聚合及转发簇成员和其他簇首的数据;簇首主要负责完成的管理功能如表2。
表2路由设备管理功能介绍
现场设备(簇成员):负责获取现场数据并发送到簇首。
移动设备(簇成员):负责移动采集工业现场数据,将采集的获取的数据经过网状网络发送到网关设备;负责现场采集数据并进行数据分析,做出适合当前需求的响应并将执行结果反馈到主控计算机;负责为操作人员提供直接的数据信息。
1、移动设备第一入网认证
移动设备第一次加入WIA-PA网络的过程如图2所示。移动设备第一次加入WIA-PA工业无线网络时需要经历如下步骤:
(1)在新移动设备加入WIA-PA网络之前,手持配置设备读取新移动设备的64位长地址,并将该地址传给安全管理者。安全管理者为该新移动设备生成加入密钥KJ(JoinKey)。手持配置设备将该KJ传给该新移动设备。
(2)具有KJ的新移动设备持续监听网络内的可用信道以获得在网的路由设备发出的信标。
(3)新移动设备选择一个发出信标的路由设备或网关设备作为簇首,根据信标内的时间信息完成时间同步。
(4)新移动设备利用设备的长地址和KJ生成安全信息,并将安全信息发送给簇首。簇首发送加入安全请求给该移动设备,移动设备收到请求后,发送安全加入响应给簇首。然后,簇首为该新移动设备发出一个带其安全信息的加入请求给NM。
(5)网络管理者接收到加入请求后,将新移动设备的安全信息传送给安全管理者。安全管理者认证该新移动设备的安全信息。如果认证失败,则网络管理者返回加入失败响应,断开连接。如果认证成功,网络管理者保存该移动设备的认证ID,安全管理者生成Ticketnet和Ticketmobile,网络管理者返回加入成功响应。
安全管理者对Ticketnet和Ticketmobile进行管理,管理包含Ticketnet和Ticketmobile的生成、Ticketnet和Ticketmobile的分发、Ticketnet和Ticketmobile的存储与Ticketnet和Ticketmobile的更新。
1)Ticketnet和Ticketmobile的生成
图3所示为Ticketnet和Ticketmobile格式,Ticketnet和Ticketmobile由安全管理者生成。认证ID为移动设备长地址,WIA-PA工业无线网络中移动设备有一个全球惟一的64位长地址,长地址由厂商按照EUI-64分配并设置。
Ticketnet中,加密密文为对认证ID加密后的密文,其长度为8字节。Ticketmobile中,加密密钥Key为Ticketnet中对认证ID加密的加密密钥,长度为16字节。
2)Ticketnet和Ticketmobile的分发
Ticketnet和Ticketmobile的分发模型如图4,Ticketnet和Ticketmobile的分发过程如下:
A)移动设备被认证成功后,网络管理者返回加入成功响应,加入成功响应命令包格式如表3:
表3加入成功响应命令包格式
14字节 | 1字节 | 1字节 | 2字节 | 24字节 |
网络层包头 | 命令标识符=35 | 执行结果 | 待加入设备短地址 | Ticketmobile |
其中加入成功响应命令包的命令标识符为35。如果加入成功,则执行结果返回“SUCCESS”,待加入移动设备短地址子域值、Ticketmobile有效;如果加入失败,则执行结果返回“FAILURE”,待加入移动设备短地址子域值、Ticketmobile无效。本命令包为非分段包,网络层包头字节数为14字节;
B)加入成功响应经过B、F路由设备到移动设备,移动设备收到加入成功响应后成功加入网络并获取Ticketmobile;
C)WIA-PA工业无线网络中,路由设备在网关设备处入网时,网关设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点;路由设备于在网路由设备处入网时,在网路由设备作为父节点在其父子节点关系信息表中记录待入网路由设备为其子节点。网络管理者查询网关设备中的父子节点关系信息表,并依据查询信息发送Ticketnet分发命令包给父子节点关系信息表中所有的路由设备,Ticketnet分发命令包用于路由设备/网关设备分发Ticketnet,Ticketnet分发命令包格式如表4:
表4Ticketnet分发命令包格式
14字节 | 1字节 | 8字节 |
网络层包头 | 命令标识符=33 | Ticketnet |
其中Ticketnet分发命令包命令标识符为33。本命令包为非分段包,网络层包头字节数为14字节。
相应路由设备收到Ticketnet分发命令包并保存Ticketnet后,继续查询自身存储的父子节点关系信息表,并依据查询信息将Ticketnet发送给父子节点关系信息表中所有的路由设备,以此进行Ticketnet的分发。Ticketnet以上述分发方式在网络中的分发次数为n次。
Ticketnet分发的具体方法如下:该网络组网时,路由设备A、B和C在网关设备处入网,路由设备G在路由设备A处入网,路由设备F在路由设备B处入网,路由设备E和D在路由设备C处入网。网关设备在父子节点关系信息表中备查询在网关设备处入网的路由设备,查询得到路由设备A、B和C,发送Ticketnet分发命令包给路由设备A、B和C,路由设备A、B和C收到Ticketnet分发命令包并保存Ticketnet。路由设备A查询自身父子节点关系信息表得到路由设备G,发送Ticketnet分发命令包给路由设备G,路由设备G收到Ticketnet分发命令包并保存Ticketnet;路由设备B查询自身父子节点关系信息表得到路由设备F,发送Ticketnet分发命令包给路由设备F,路由设备F收到Ticketnet分发命令包并保存Ticketnet;路由设备C查询自身父子节点关系信息表得到路由设备D和E,发送Ticketnet分发命令包给路由设备D和E,路由设备D和E收到Ticketnet分发命令包并保存Ticketnet,分发路径如图4所示。
若有新的路由设备加入网络,则在新路由设备加入网络过程中,其选定的簇首为其分发Ticketnet。
3)Ticketnet和Ticketmobile的存储
Ticketnet缓存于在网路由设备和网关设备,Ticketmobile固定存储于移动设备。
4)Ticketnet和Ticketmobile的更新
本技术方案提供四种Ticketnet和Ticketmobile的更新模式,用户根据实际情况自选更新模式:
更新模式1:记移动设备在第一次离开网络的时间为t1,经过一段时间t后,Ticketnet自动更新到Ticketnet1,同时Ticketmobile自动更新到对应的Ticketmobile1。后续更新重复该过程。
更新模式2:在移动设备重复入网g次以后,其中g的取值依据网络规模而选定,在第g+1次入网时,安全管理者生成新的Ticketnet和Ticketmobile,再次执行Ticketnet和Ticketmobile的分发过程。
更新模式3:设定Ticketnet和Ticketmobile最大存活时间T,超过最大存活时间T后,WIA-PA网络中的路由设备和网关设备自动清除Ticketnet,移动设备同时清除Ticketmobile。移动设备在下一次入网时,采用移动设备第一次入网过程入网。
更新模式4:对Ticketnet和Ticketmobile不更新。
本技术方案中报文分析中采用了更新模式4。
(6)移动设备收到加入成功响应后成功加入网络并获取Ticketmobile。
(7)采用Ticketnet的分发过程将Ticketnet发送到所有在网路由设备,在网路由设备缓存Ticketnet。
2、移动设备第k(k≥2)次重复入网过程
移动设备第k(k≥2)次重复入网过程如图5所示,移动设备第k(k≥2)次重复入网需要经历如下步骤:
(1)移动设备持续监听网络内的可用信道,获得在网路由设备或者网关设备发出的信标;
(2)移动设备选择发出信标的其中一个路由设备或者网关设备作为簇首,根据信标内的时间信息完成时间同步;
(3)移动设备向选定的簇首发出移动设备再次加入请求,移动设备再次加入请求命令包用于移动设备重复入网时发送加入请求,移动设备再次加入请求命令包格式定义如表5:
表5移动设备再次加入请求命令包格式
14字节 | 1字节 | 24字节 |
网络层包头 | 命令标识符=34 | Ticketmobile |
其中,移动设备再次加入请求的命令标识符为34。本命令包为非分段包,网络层包头字节数为14字节;
(4)收到移动设备再次加入请求后,簇首根据Ticketmobile中的Key解密Ticketnet得到认证ID并与Ticketmobile中的认证ID进行比对,若不相同,拒绝入网,若相同,则预先分配链路资源,接入网络,并发送设备再认证请求给网络管理者,设备再认证请求命令包用于路由设备转发设备再认证请求,设备再认证请求命令包格式定义如表6:
表6设备再认证请求命令包格式
14字节 | 1字节 | 8字节 |
网络层包头 | 命令标识符=32 | 解密后的认证ID |
其中,设备再认证请求命令包的命令标识符为32。解密后的认证ID用于安全管理者的认证。本命令包为非分段包,网络层包头字节数为14字节;
(5)网络管理者收到设备再认证请求后转发给安全管理者;
(6)安全管理者收到设备再认证请求后获取认证ID,将此认证ID与网络管理者存储的认证ID进行比对,若相同,则通知网络管理者利用远程读属性服务读UAO(UserApplicationObject,用户应用对象)的请求,若不同,则不做任何响应。
(7)簇首等待网络管理者利用远程读属性服务读UAO(UserApplicationObject,用户应用对象)的请求,若在一段时间后未收到该请求,则主动断开该移动设备;若在一段时间后收到该请求,则安全管理者分配相应的权限给该移动设备。
3、移动设备入网过程报文开销分析
移动设备入网过程报文开销分析分为三部分:第一部分为WIA-PA标准中移动设备入网报文开销;第二部分为本技术方案中WIA-PA移动设备入网认证机制报文开销;第三部分为报文开销对比与分析。
(1)WIA-PA标准中移动设备入网报文开销
图6为WIA-PA标准中移动设备安全加入网络时序图。
参考WIA-PA标准可得表7:
表7WIA-PA标准中定义的包字节数
包类型 | 字节数(字节) |
加入请求命令包 | 28 |
加入响应命令包 | 26 |
ACK | 5 |
移动设备第一次入网总报文开销为A字节,加入请求过程中需要的加入请求命令包、加入响应命令包和ACK在网络中转发的次数为m1次,则
A=(28+5+26)×2+m1(28+26+5+5)=118+64m1
移动设备k次入网总报文开销为x字节(WIA-PA标准中移动设备安全入网中配置阶段的交互的报文数与本技术方案中移动设备第一次入网中配置阶段交互报文数相等,故此处不做计算),第i次入网时,命令包在网络中转发次数为mi,则
(2)本技术方案中移动设备入网认证机制报文开销
根据本技术方案中定义的命令包整理可得表8:
表8本技术方案中定义的命令包的字节数
命令包类型 | 字节数(字节) |
移动设备再次加入请求命令包 | 39 |
设备再认证请求命令包 | 23 |
加入成功响应命令包 | 42 |
Ticketnet转发命令包 | 23 |
本技术方案中移动设备加入请求和移动设备再次加入请求与WIA-PA标准中移动设备加入请求转发在网络中转发次数对应相等。
根据图2和图5所描述的移动设备入网过程可以得到:本技术方案中移动设备第一次入网报文总开销为B字节(WIA-PA标准中移动设备安全入网中配置阶段的交互的报文数与本技术方案中移动设备第一次入网中配置阶段交互报文数相等,故此处不做计算),加入请求命令包、加入成功响应命令包和ACK在网状网络中转发的次数为m1次,在网路由设备数为n(其中n为在网路由设备数,在网络布置好以后n一般为定值),则
B=(28+26+5)×2+(28+42+5×2)m1=118+80m1
Ticketnet分发的报文开销C字节,由Ticketnet的分发过程可得Ticketnet在网络中分发次数为n次,则C=23n。本技术方案中移动设备第二次入网的报文开销为D字节,则D=39+23m2。
本技术方案中移动设备k次重复入网报文总开销为y字节,第i次入网时,命令包在网络中转发次数为mi,则
(3)报文开销对比与分析
本技术方案中移动设备入网认证与WIA-PA标准中移动设备入网认证报文开销对比如表9所示。
表9报文开销对比
令Y为WIA-PA标准中移动设备入网报文开销与本技术方案中移动设备入网报文开销之差,即:Y=x-y,则
因为mi≥1(i≥2),可得:
令X=120k-120-16m1-23n,则Y≥X。当X≥0时可得Y≥0,即本技术方案中移动设备入网认证机制的入网报文开销比WIA-PA标准中移动设备入网认证机制报文开销少,即X=120k-120-16m1-23n≥0,可得
即当时,本技术方案中移动设备入网认证机制的入网报文开销比WIA-PA标准中移动设备入网认证机制报文开销少。
以图1中所述移动设备在WIA-PA网络中移动的网络参考模型进行分析,从图1中可以得到:m1的值为2,若mi的值为1,则:
因为k为自然数,故当k≥3时,Y>0,则本技术方案中移动设备入网认证机制的报文开销比WIA-PA标准中移动设备入网认证机制的报文开销少。Y随k增加而线性增加,则随着k值的增加(即重复入网次数的增加),本技术方案中移动设备入网认证机制相对于WIA-PA标准中移动设备入网认证机制的优势会进一步的增大。
最后说明的是,以上优选实施例仅用以说明本发明的技术方案而非限制,尽管通过上述优选实施例已经对本发明进行了详细的描述,但本领域技术人员应当理解,可以在形式上和细节上对其作出各种各样的改变,而不偏离本发明权利要求书所限定的范围。
Claims (7)
1.一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:在该认证过程中涉及的WIA-PA工业无线网络设备包括:网关设备、路由设备、现场设备和移动设备;
该认证机制包含移动设备第一次入网认证和移动设备第k(k≥2)次重复入网认证;移动设备第一次入网认证包含Ticketnet(网络中的票据)和Ticketmobile(移动设备中的票据)的处理和入网认证,移动设备第k(k≥2)次重复入网认证包含移动设备第k(k≥2)次重复入网认证流程和入网认证。
2.根据权利要求1所述的一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:所述移动设备第一次入网认证包括:移动设备在网关设备处认证,认证成功后,网关设备中网络管理者保存该移动设备的认证ID;网关设备中安全管理者生成Ticketnet和Ticketmobile,分发Ticketnet给在网所有路由设备,分发Ticketmobile给该移动设备。
3.根据权利要求1所述的一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:所述移动设备第k(k≥2)次重复入网认证包括:待入网的移动设备发送Ticketmobile给路由设备,路由设备根据Ticketmobile解密Ticketnet得认证信息,并比对认证信息是否一致,若一致则移动设备获得链路资源,接入网络,然后,路由设备将解密后的认证信息转发给网关设备中安全管理者,安全管理者再次认证该认证信息;若认证失败,则断开移动设备,若认证成功,网关设备中网络管理者给移动设备分配相应的权限。
4.根据权利要求2所述的一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:移动设备认证成功后,Ticketmobile封装到加入成功响应中,移动设备收到加入成功响应后成功入网并获取Ticketmobile,加入成功响应命令包格式如下表:
其中加入成功响应命令包的命令标识符为35,如果加入成功,则执行结果返回“SUCCESS”,待加入移动设备短地址子域值、Ticketmobile有效;如果加入失败,则执行结果返回“FAILURE”,待加入移动设备短地址子域值、Ticketmobile无效。
5.根据权利要求4所述的一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:所述Ticketnet和Ticketmobile的处理包含Ticketnet和Ticketmobile的生成、Ticketnet和Ticketmobile的转发、Ticketnet和Ticketmobile的存储与Ticketnet和Ticketmobile的更新。
6.根据权利要求5所述的一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:Ticketnet中加密密文为对认证ID加密后的密文,其长度为8字节,Ticketmobile中Key为Ticketnet中加密算法的密钥,长度为16字节;Ticketnet和Ticketmobile分发,在WIA-PA工业无线网络中,路由设备在网关设备处入网时,网关设备作为父节点在父子节点关系信息表中记录待入网路由设备为子节点;路由设备于在网路由设备处入网时,在网路由设备在父子节点关系信息表中记录待入网路由设备为子节点;网络管理者查询网关设备中的父子节点关系信息表,并依据查询信息发送Ticketnet分发命令包给其所有子节点路由设备,相应路由设备收到Ticketnet分发命令包并保存Ticketnet后,继续查询自身存储的父子节点关系信息表,并依据查询信息将Ticketnet发送给父子节点关系信息表中的所有子节点路由设备,以此进行Ticketnet的分发;Ticketnet分发命令包用于路由设备/网关设备分发Ticketnet,Ticketnet分发命令包格式如下表:
其中Ticketnet转发命令包命令标识符为33;Ticketnet采用缓存机制,缓存于在网路由设备和网关设备,Ticketmobile在移动设备中固定存储;提供四种Ticketnet和Ticketmobile的更新模式,用户根据实际情况自选更新模式,更新模式1为移动设备在第一次离开网络的时间为t1,经过一段时间t后,Ticketnet自动更新到Ticketnet1,同时Ticketmobile自动更新到对应的Ticketmobile1,后续更新重复该过程,更新模式2为移动设备重复入网g次以后,在第g+1次入网时,安全管理者生成新的Ticketnet和Ticketmobile,再次执行Ticketnet和Ticketmobile的转发过程,更新模式3为设立Ticketnet和Ticketmobile最大存活时间T,超过最大存活时间T后,WIA-PA网络中的路由设备和网关设备自动清除缓存中Ticketnet,移动设备同时清除Ticketmobile;在下一次入网时,采用移动设备第一次入网认证过程,更新模式4为对Ticketnet和Ticketmobile不更新。
7.根据权利要求3所述的一种WIA-PA工业无线网络中移动设备入网认证机制,其特征在于:在移动设备第k(k≥2)次重复入网过程中,定义了两种命令包,即移动设备再次加入请求命令包和设备再认证请求命令包;移动设备再次加入请求命令包用于移动设备发送再次加入请求,移动设备再次加入请求命令包格式如下表:
其中移动设备再次加入请求命令包的命令标识符为34;
设备再认证请求包用于路由设备转发设备再认证请求,设备再认证请求命令包格式如下表:
其中设备再认证请求命令包的命令标识符为32,解密后的认证ID用于安全管理者的认证。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610298169.9A CN105744524B (zh) | 2016-05-06 | 2016-05-06 | 一种wia-pa工业无线网络中移动设备入网认证方法 |
PCT/CN2016/088054 WO2017190414A1 (zh) | 2016-05-06 | 2016-07-01 | 一种wia-pa工业无线网络中移动设备入网认证机制 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610298169.9A CN105744524B (zh) | 2016-05-06 | 2016-05-06 | 一种wia-pa工业无线网络中移动设备入网认证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105744524A true CN105744524A (zh) | 2016-07-06 |
CN105744524B CN105744524B (zh) | 2019-03-22 |
Family
ID=56288279
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610298169.9A Active CN105744524B (zh) | 2016-05-06 | 2016-05-06 | 一种wia-pa工业无线网络中移动设备入网认证方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105744524B (zh) |
WO (1) | WO2017190414A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106780167A (zh) * | 2016-11-24 | 2017-05-31 | 杭州领点科技有限公司 | 一种软件党员信息服务平台 |
CN108696500A (zh) * | 2017-03-29 | 2018-10-23 | 恩德莱斯和豪瑟尔分析仪表两合公司 | 操作自动化技术现场设备的方法和执行该方法的操作单元 |
CN108737169A (zh) * | 2018-05-08 | 2018-11-02 | 重庆邮电大学 | 一种基于sdn的异构工业网络集中式融合管理方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116318258B (zh) * | 2023-03-10 | 2023-10-10 | 广东金朋科技有限公司 | 一种plc设备组网方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
CN103888940A (zh) * | 2012-12-19 | 2014-06-25 | 中国科学院沈阳自动化研究所 | 多级加密与认证的wia-pa网络手持设备的通讯方法 |
EP2827527A1 (en) * | 2011-09-12 | 2015-01-21 | Qualcomm Incorporated | Systems and methods of performing link setup and authentication |
CN105530224A (zh) * | 2014-09-30 | 2016-04-27 | 中国电信股份有限公司 | 终端认证的方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
CN101150472A (zh) * | 2007-10-22 | 2008-03-26 | 华为技术有限公司 | Wimax中实现认证的方法、认证服务器和终端 |
CN101516090B (zh) * | 2008-02-20 | 2013-09-11 | 华为技术有限公司 | 网络认证通信方法及网状网络系统 |
-
2016
- 2016-05-06 CN CN201610298169.9A patent/CN105744524B/zh active Active
- 2016-07-01 WO PCT/CN2016/088054 patent/WO2017190414A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2827527A1 (en) * | 2011-09-12 | 2015-01-21 | Qualcomm Incorporated | Systems and methods of performing link setup and authentication |
CN103888940A (zh) * | 2012-12-19 | 2014-06-25 | 中国科学院沈阳自动化研究所 | 多级加密与认证的wia-pa网络手持设备的通讯方法 |
CN103501495A (zh) * | 2013-10-16 | 2014-01-08 | 苏州汉明科技有限公司 | 融合Portal/Web认证和MAC认证的WLAN无感知认证方法 |
CN105530224A (zh) * | 2014-09-30 | 2016-04-27 | 中国电信股份有限公司 | 终端认证的方法和装置 |
Non-Patent Citations (1)
Title |
---|
张萱: "WIA-PA网络安全通信协议栈研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑2010年第12期》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106780167A (zh) * | 2016-11-24 | 2017-05-31 | 杭州领点科技有限公司 | 一种软件党员信息服务平台 |
CN106780167B (zh) * | 2016-11-24 | 2020-06-26 | 杭州领点科技有限公司 | 一种党员信息服务平台及方法 |
CN108696500A (zh) * | 2017-03-29 | 2018-10-23 | 恩德莱斯和豪瑟尔分析仪表两合公司 | 操作自动化技术现场设备的方法和执行该方法的操作单元 |
US10938804B2 (en) | 2017-03-29 | 2021-03-02 | Endress+Hauser Conducta Gmbh+Co. Kg | Method for operating a field device of automation technology and an operating unit for carrying out the method |
CN108696500B (zh) * | 2017-03-29 | 2021-08-31 | 恩德莱斯和豪瑟尔分析仪表两合公司 | 操作自动化技术现场设备的方法和执行该方法的操作单元 |
CN108737169A (zh) * | 2018-05-08 | 2018-11-02 | 重庆邮电大学 | 一种基于sdn的异构工业网络集中式融合管理方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2017190414A1 (zh) | 2017-11-09 |
CN105744524B (zh) | 2019-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111478902B (zh) | 电力边缘网关设备及基于该设备的传感数据上链存储方法 | |
Yan et al. | An efficient security protocol for advanced metering infrastructure in smart grid | |
CN107852600A (zh) | 具有简化的移动性过程的网络架构和安全 | |
CN101771992B (zh) | 国际移动用户标识符imsi机密性保护的方法、设备及系统 | |
CN105744524A (zh) | 一种wia-pa工业无线网络中移动设备入网认证机制 | |
KR102156812B1 (ko) | 프라이버시 보호 메시지 블라인딩 | |
CN101356759A (zh) | 安全密钥材料的基于令牌的分布式生成 | |
CN102202302A (zh) | 结合网络及无线传感器网络终端加入网络的方法 | |
CN102202298A (zh) | 结合网络及无线传感器网络终端加入网络的方法 | |
CN107769914A (zh) | 保护数据传输安全的方法和网络设备 | |
JP2014230213A (ja) | 情報設定方法及び無線通信システム | |
CN103944756A (zh) | 一种基于OpenFlow协议实现无线接入点设备的控制方法 | |
CN109067550B (zh) | 基于cpk标识密钥的双向认证系统及双向认证方法 | |
CN108650096A (zh) | 一种工业现场总线控制系统 | |
CN107342964A (zh) | 一种报文解析方法及设备 | |
CN101697522A (zh) | 虚拟专用网组网方法及通信系统以及相关设备 | |
CN101345773A (zh) | 一种利用移动终端跨平台监控远端设备的方法、系统和设备 | |
CN110635894B (zh) | 一种基于帧协议格式的量子密钥输出方法及其系统 | |
CN112019552B (zh) | 一种物联网安全通信方法 | |
CN107295510A (zh) | 基于ocsp实现家庭基站准入控制的方法、设备及系统 | |
Giuliano et al. | Security access protocols in iot networks with heterogenous non-ip terminals | |
CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
WO2022078058A1 (zh) | 解密方法、服务器及存储介质 | |
CN108933657B (zh) | 一种安全可靠的未来网络通信实现方法 | |
Sharma | Energy-efficient secure routing in wireless sensor networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20220207 Address after: 401120 No. 28, datagu Middle Road, Yubei District, Chongqing Patentee after: Institute of industrial Internet Chongqing University of Posts and Telecommunications Address before: 400065 Chongqing Nan'an District huangjuezhen pass Chongwen Road No. 2 Patentee before: CHONGQING University OF POSTS AND TELECOMMUNICATIONS |